La Corea del Nord, ufficialmente nota come Repubblica Popolare Democratica di Corea (RPDC), è una delle nazioni più isolate e militarmente sorvegliate del mondo.
Negli ultimi decenni ha sviluppato una sofisticata capacità di condurre operazioni di cyber spionaggio e cyber attacchi, in parte per compensare le sue limitazioni economiche e tecnologiche nel panorama geopolitico globale. Questo tipo di attività è motivato da una combinazione di obiettivi strategici, inclusi il consolidamento del regime, la sopravvivenza economica sotto sanzioni internazionali, l’acquisizione di tecnologie militari e civili avanzate, e il monitoraggio degli avversari politici, sia interni che esterni. A livello geopolitico, la Corea del Nord utilizza il cyber spionaggio come una delle sue principali leve per rafforzare il potere del regime e proiettare la sua influenza oltre i confini nazionali.
Le sue operazioni sono orientate verso obiettivi strategici che riflettono le sue priorità geopolitiche; La sopravvivenza del regime è il principale, poiché la stabilità e la continuità della dinastia Kim sono basi essenziali nella politica di questo Paese.
Le operazioni di spionaggio sono indirizzate alla raccolta di informazioni cruciali sui principali avversari internazionali, come gli Stati Uniti, la Corea del Sud e i loro alleati, oltre che su organizzazioni internazionali. Questi dati permettono alla Corea del Nord di monitorare le politiche estere e militari globali, consentendo reazioni mirate per proteggere gli interessi del regime. L’evasione delle sanzioni economiche rappresenta un altro obiettivo chiave.
A causa delle forti restrizioni economiche imposte dalla comunità internazionale, la Corea del Nord ha fatto ricorso al cybercrime per finanziare le proprie operazioni statali. Gruppi specializzati in cyber spionaggio e hacking conducono attacchi contro istituzioni finanziarie, exchange di criptovalute e sistemi bancari globali per raccogliere fondi che alimentano l’economia del regime. La ricerca di tecnologie avanzate, sia militari che industriali, costituisce un’ulteriore motivazione per le operazioni di spionaggio. Attraverso queste attività, la Corea del Nord mira a rubare proprietà intellettuale e segreti tecnologici, inclusi progetti riguardanti missili balistici, sviluppo nucleare e tecnologie industriali avanzate, accelerando così i propri programmi strategici.
Infine, il cyber spionaggio è utilizzato come strumento di influenza politica. La Corea del Nord mira a destabilizzare i suoi avversari politici, in particolare la Corea del Sud, tramite campagne di disinformazione e attacchi informatici volti a colpire le infrastrutture critiche. Questo le consente di creare instabilità regionale e mantenere una posizione di forza nel contesto internazionale. Uno dei gruppi di minaccia più noti associati al cyber spionaggio nord-coreano è Kimsuky (noto anche come Velvet Chollima).
Attivo almeno dal 2012, Kimsuky è un Advanced Persistent Threat (APT) direttamente sponsorizzato dal governo nordcoreano e specificamente focalizzato sullo spionaggio politico e strategico. Si ritiene che le operazioni di Kimsuky siano fortemente connesse al governo della Corea del Nord, in particolare al Reconnaissance General Bureau (RGB), l’agenzia di intelligence militare nordcoreana. L’RGB sovrintende a molte delle operazioni di cyber spionaggio del regime e utilizza gruppi come Kimsuky per raggiungere obiettivi strategici a livello globale.
Nuovi payloads, stessi interessi
Di recente sono state identificate due nuove varianti malware, classificate come keyloggers e backdoors, appartenenti al collettivo in questione e usate in operazioni contro diversi bersagli operanti nei settori governativo e tecnologico, anche contro Paesi occidentali. In realtà tali varianti rappresentano le versioni PE (Portable Executable) di una backdoor in PowerShell già utilizzata a lungo da questo gruppo (almeno dal 2018).
Nell’analisi del primo file (sha256:a173a425d17b6f2362eca3c8ea4de9860b52faba414bbb22162895641dda0dc2), la funzione sub_140001800 è responsabile delle attività di keylogging e monitoraggio della clipboard. La funzione GetAsyncKeyState viene comunemente utilizzata nei keylogger per determinare lo stato di un tasto specifico in un dato momento. Anche in questo caso tale API permette al malware di intercettare quali tasti sono stati premuti, registrandone i risultati.
Il codice può iterare su una serie di tasti (come le lettere, i numeri e i tasti speciali) e, se uno di questi viene premuto, il valore corrispondente viene registrato nel log. Interessante osservare frammenti di codice interni mirati all’acquisizione di clipboard (appunti) tramite API come OpenClipboard, GetClipboardData, e GlobalLock. Queste funzioni consentono al malware di accedere a qualsiasi testo o dato copiato dall’utente e di loggare tali informazioni.
Nel caso dell’eseguibile analizzato l’interazione avviene con un file .ini chiamato desktops.ini. Esso viene creato e manipolato per conservare informazioni carpite nel contesto della macchina vittima. La funzione di esfiltrazione dati primaria è posta sotto la sub_1400011B0. Questa funzione stabilisce una connessione HTTP con il server remoto C2 utilizzando le API di Windows InternetOpenW, InternetConnectW, e HttpOpenRequestW. I dati vengono dunque inviati attraverso richieste HTTP POST. Il payload è frammentato in blocchi gestiti dalla funzione InternetWriteFile. Di interesse la sezione del malware orientata alla risoluzione dinamica delle API; Tale codice utilizza una tecnica di risoluzione dinamica delle API di Windows estremamente simile con il codice trapelato da Hacking Team.
Il ‘DynamicImport’ di Hacking Team (nome originato dal nome del file originale appartenente alla nota azienda italiana) è una tecnica per risolvere dinamicamente le API di Windows durante l’esecuzione del malware. Questa tecnica consiste nell’usare funzioni di sistema come LoadLibraryA e GetProcAddress per caricare e risolvere le funzioni necessarie a runtime, piuttosto che linkarle staticamente durante la compilazione. Quando un malware risolve dinamicamente le API, non c’è un riferimento diretto alle funzioni nel binario compilato.
Questo rende più difficile per gli strumenti di analisi statica, come antivirus o software di reverse engineering, rilevare comportamenti sospetti, poiché l’analisi non può identificare facilmente quali funzioni di sistema verranno utilizzate dal malware durante l’esecuzione. Un ulteriore vantaggio è quello di ridurre la dimensione dell’eseguibile finale poiché si evita l’importazione statica di tutte le funzioni necessarie. Questo limita le dimensioni del malware, rendendo il payload più leggero e generalmente meno sospetto.
Il secondo file (sha256:c69cd6a9a09405ae5a60acba2f9770c722afde952bd5a227a72393501b4f5343) evidenzia ulteriori capacità malevole rispetto al precedente. Esse sono progettate per garantire un controllo persistente sul sistema compromesso e per facilitare l’esfiltrazione di dati sensibili. Una delle principali fra esse è l’archiviazione dei dati di configurazione relativi al dispositivo infetto all’interno di un file denominato Param.ini. Questo file può contiene informazioni cruciali per il funzionamento del malware, come i parametri di comunicazione al server di comando e controllo (C2), configurazioni di rete e impostazioni di sistema.
L’uso di un file di configurazione consente al malware di adattarsi facilmente a diversi ambienti e di aggiornare la propria configurazione senza la necessità di modificare l’eseguibile principale, migliorando così la sua capacità di operare in modo discreto e flessibile. Inoltre, il malware raccoglie una vasta gamma di informazioni sul sistema compromesso, salvandole in un file denominato Sysinfo_<data>.txt. Questo file contiene dettagli tecnici del sistema, come le specifiche hardware, la versione del sistema operativo, i processi in esecuzione, i programmi installati e le configurazioni di rete.
La raccolta di queste informazioni permette al malware di fornire al C2 una panoramica completa del dispositivo infetto, consentendo agli operatori di prendere decisioni informate su come procedere con l’attacco, ad esempio identificando bersagli di alto valore o selezionando moduli specifici da scaricare. Un’altra caratteristica rilevante del malware è la capacità di scaricare ed eseguire moduli aggiuntivi criptati provenienti dal server di comando e controllo.
Questi moduli possono espandere le capacità del malware, permettendogli di svolgere compiti più avanzati come attacchi mirati, manipolazione del sistema o ulteriori operazioni di spionaggio. Questo approccio modulare rende il malware flessibile e adattabile, riducendo al minimo il codice presente nell’eseguibile principale e permettendo agli operatori di inviare nuovi strumenti al malware durante l’esecuzione, in base alle esigenze operative. Il malware lavora all’interno di un modello multi-threading, con più thread incaricati di compiti specifici.
Un thread si occupa di scaricare moduli aggiuntivi dal server remoto, mentre un altro è responsabile del caricamento dei dati esfiltrati verso il C2. Questa struttura parallela aumenta l’efficienza operativa, permettendo al malware di gestire simultaneamente più operazioni senza compromettere le prestazioni. L’utilizzo di thread separati per il download e l’upload dei dati consente al malware di mantenere una comunicazione continua con il C2, garantendo che nuove istruzioni possano essere ricevute e che i dati raccolti vengano trasferiti senza interruzioni.
Una delle capacità più potenti del malware è l’esecuzione di comandi arbitrari inviati dal server di comando e controllo. Questa funzionalità offre agli operatori il controllo completo del dispositivo infetto, permettendo loro di eseguire qualsiasi tipo di operazione, come manipolare file, modificare le configurazioni di sistema, o lanciare nuovi attacchi. L’esecuzione di comandi arbitrari è fondamentale nelle campagne di cyber spionaggio, poiché fornisce la flessibilità necessaria per adattare l’attacco alle circostanze specifiche del bersaglio. Il malware sfrutta anche il comando tree di PowerShell per generare una mappa dettagliata delle unità disco e delle directory presenti sul sistema compromesso. Questo comando consente di enumerare tutte le unità, le cartelle e i file del dispositivo, archiviando i risultati in un file denominato Drv_<lettera unità>.txt. Questa informazione viene poi inviata al C2 per ulteriori analisi, consentendo agli operatori di individuare file o directory di interesse che possono contenere dati sensibili o critici. Anche in questo caso (ref. sub_40100A) il payload utilizza tecniche di risoluzione dinamica delle API di Windows simili al codice trapelato del progetto Hacking Team.
Conclusioni
Il cyber spionaggio è diventato uno strumento cruciale per la Corea del Nord nella sua strategia geopolitica, consentendole di aggirare le limitazioni economiche e militari e di raccogliere informazioni vitali sui suoi avversari. Il gruppo Kimsuky rappresenta una delle principali forze operative dietro queste campagne, con attacchi mirati a raccogliere informazioni di intelligence strategiche. Questo rende Kimsuky una delle minacce APT più significative a livello globale, con implicazioni importanti per la sicurezza internazionale e regionale.
Esso è particolarmente noto per la sua focalizzazione su obiettivi strategici ed ha aggiornato il suo arsenale in modo significativo negli ultimi anni, passando da operazioni di spear-phishing tradizionali a campagne di cyber spionaggio più complesse che integrano malware specializzati.
Questa evoluzione riflette l’intento geopolitico della Corea del Nord di mantenere la sua posizione strategica a livello globale, utilizzando il cyberspazio come leva per aggirare sanzioni economiche, raccogliere informazioni di intelligence e destabilizzare avversari regionali come la Corea del Sud. Entrambi i malware in analisi, infatti, rappresentano una seria minaccia alla confidenzialità delle informazioni presenti nei sistemi colpiti e dimostrano di essere state progettate per operare furtivamente in ambienti protetti.
Riferimenti
File SHA256: a173a425d17b6f2362eca3c8ea4de9860b52faba414bbb22162895641dda0dc2
File SHA256: c69cd6a9a09405ae5a60acba2f9770c722afde952bd5a227a72393501b4f5343
English (US)